信息安全产品：工控界无法拒绝的阳光

    向来爱工控，奈何不安全？当震网病毒攻击美国四家石油公司，flame病毒袭击了伊朗的相关工业设施、Slammer 蠕虫攻击美国核电站等一系列工业信息安全事件爆发之时，大佬们才明白：有一种不能重来的幸福，叫做靠谱地运行自动化设备。所以，小编在此想说，信息安全，你是我的sunshine，是我想拒绝而拒绝不了的阳光。

    2013年，中国工控信息安全市场容量仅为1.98亿元，占中国信息安全整体市场份额的1%。进入2014年，工控信息安全升至国家战略高度，被关注度一路飙升。各工控信息安全厂商为抢得市场先机，集聚先发优势，正紧锣密鼓的实施产品和服务战略布局。工控信息安全市场进入者除百通赫思曼、青岛海天炜业、力控华康、中科网威等在工控信息安全领域已取得一定市场业绩的厂商外，三零卫士、匡恩科技等已布局工控信息安全领域的企业也在2014年推出了工控信息安全产品。另外，部分传统IT信息安全供应商正在考虑进入工业控制系统信息安全市场，由此可见，工控信息安全市场格局正在经历着一场暗流涌动的变化。

    目前市面上的工控安全产品，主要硬件类产品为主，超过整体市场70%以上的市场份额，主要以工业防火墙和工业网闸类产品为主，软件类及服务类产品市场份额相对较小，尚处于市场导入期。目前针对工控信息安全防护产品技术，行业内仍存在不同的发展理念，但越来越多的厂商开始眼着于整体解决方案，从完善产品体系的角度推出主动防御的工控信息安全产品。

    梳理2014年信息安全产品，小编为大家总结信息安全产品未来的发展方向：

    可靠的硬件——例如硬件要求无风扇设计(风扇平均无故障时间不到3年)；另外，导致传统信息安全产品的“故障关闭”原则如防火墙故障则断开内外网的网络连接，不适用于工业控制系统，工业控制系统的需求是防火墙故障时也要保证网络畅通。

    低时延——工业控制系统对报文时延很敏感，某些应用场景要求时延在几十微秒内，因而信息安全产品必须从CPU选型、软硬件架构上做到低时延，这对当前一些基于x86 CPU及开源软件架构的信息安全产品是一个严峻挑战。

    支持工业协议——现在主流工业控制系统已经广泛采用工业以太技术，虽然都基于IP/TCP/UDP通信，但是应用层协议是不同的，这就要求信息安全产品必须支持工业控制协议（例如，OPC、Modbus、DNP3、S7），并同时能够对工业协议进行深度检测，否则就会出现上面提到的为了支持OPC Classic服务而放开大量TCP端口的问题。

    在恶劣环境下使用——工业控制系统的工业现场环境恶劣（如，野外零下几十度的低温、潮湿、高原、盐雾），这就要求工业控制系统中的信息安全硬件产品，必须按照工业现场环境的要求专门设计，例如，做到全密闭，并支持﹣40℃～70℃等温度条件下使用。

    以下是小编根据工控网大数据分析以及技术专家推荐，初步筛选出的2014年信息安全新品（不用谢谢，都是缘分）：

海天炜业 Guard工业防火墙

    海天炜业Guard工业防火墙的问市填补了国内工业防火墙领域的空白：采用无IP管理专利技术，自身无需设置IP地址即可实现远程管理，管理软件与防火墙之间通过私有协议进行通讯。Guard工业防火墙的配置管理平台采用一站式集中管理模式，通过一个工作站就可以同时配置、管理和检测网络上的所有Guard工业防火墙，方便、高效，便于维护。Guard防火墙支持对链路层非IP通讯数据帧的防护功能，可实现基于MAC地址和二层协议的点对点通讯检查；从应用层对多种工业协议进行深层检测，并且其特有的安全管理平台可以收集并存储网络中所有的日志文件。Guard工业防火墙可在线安全调试，部署于受保护的区域或控制器等关键前端，无需更改原有网络结构；特有的测试模式可以实现工业控制系统在线运转时配置并测试安全策略，而不会中断网络通讯连接。

中科网威NPISG-4000工控防火墙

    中科网威NPISG-4000工控防火墙具备行业专有协议深度分析能力，内置高效的工控协议深度分析引擎；工控协议分析引擎实现了协议指令级的检测，工控协议分析能力完全内置无需额外插件，无需二次安装。网威工控防火墙智能化安全策略决策技术可辅助工程师轻松完成网络安全策略持续更新，并将安全防护工作纳入工控网络日常运营中。它使用自主研发专用硬件平台，满足工业控制防火墙需在高温、高湿和震动的环境下维持恒常运作的要求。除此之外，它使用自主研发专用硬件平台，满足工业控制防火墙需在高温、高湿和震动的环境下维持恒常运作的要求。网威工控防火墙通过自动的网络环境发现，围绕资产、协议和资产行为构筑了面向风险的监测防护体系。

康士达科技网络安全主板K-B68NS

    康士达网络安全主板K-B68NS的主机板采用SOC处理核心，标准MINI-ITX架构，结构小巧易于安装，适用于防火墙、上墙解码服务器、入侵检测系统等网络安全设备。在存储方面，其配备1条DDR3 SO-DIMM，最大容量4GB；集成1个标准的SATA硬盘接口（支持SATA3.0）和1个MSATA接口，集成1个CFast接口(与SATA接口共用)。在其他接口方面，它集成4个千兆LAN，其中LAN1,LAN2支持Bypass功能，1组LAN LED插针，方便扩展前置网卡灯。集成4个USB2.0 （2个USB插针，其中一组插针与USB Port共用），1个COM，1个PS/2，6路预留输入输出编程接口GPIO插针。

海天炜业UniFace安全数采网关

    海天炜业UniFace安全数采网关是一个自动采集数据、并将数据自动转发到实时数据库的设备。它采用专用硬件，无风扇设计，MTBF达30万小时；固化了数百种自动设备及仪表的通信协议，可以采集现场智能仪表、GPRS设备、PLC控制器等自动化设备的生产现场数据，发送给实时数据库等数据应用系统和企业管理平台。 UniFace安全数采网关融入了网络安全功能，增加了IP保护、协议过滤和MAC绑定等安全防护功能，并通过数采系统管理平台可以实现远程集中管控功能，可统一配置数采点和实时监控数采机运行状态。 除此之外，它的管理平台还具备特有的断点续传功能，可在网络中断的情况下，将数据缓存在数采机里，待网络恢复后及时将数据传送到数据库中。

多芬诺 IFW220工业防火墙

    Tofino IFW220工业防火墙内置50几种主流自动化产品制造商的私有通信协议，可实现与各主流自动化产品如Honeywell DCS系统、Yokogawa DCS系统、INVENSYS DCS等系统，OPC SERVER、IP21/PHD/PI等服务器或数据库无扰动接入。与常规防火墙不同的是，Tofino工业防火墙是基于内置工业通讯协议的防护模式，由于工业通讯协议通常是基于常规TCP/IP在应用层的高级开发，所以Tofino工业防火墙不仅是在端口上的防护，更重要的是基于应用层上数据包的深度检查、协议分析，属于新一代工业通讯协议防火墙，通过区域隔离、通讯管控、实时报警，为工业通讯提供独特的、工业级的专业隔离防护解决方案。

三零卫士 30TrustCON FWS工业防火墙

    三零卫士工业防火墙30TrustCON FWS是采用国际上先进的网络安全技术，针对工控网络安全的具体应用环境而完全自主开发的安全产品。该防火墙不仅在效率、稳定性等方面有重大突破，并且实现了基于用户的访问控制，能够检测近五十多种工控协议。三零卫士工业防火墙将“强大的信息分析功能”、“高效包过滤功能”等多种安全措施有效融合、综合运用，并根据系统管理者设定的安全规则保护内部网络与工控网络，提供完善的安全性设置，通过高性能的网络核心进行访问控制。同时提供工业协议深度检测、设备扫描、流量统计、事件报警、网络地址转换、冗余接口、高可用性、带宽管理、虚拟专用网、用户身份认证等功能。

欢迎参与gongkong® 2014 十三届自动化年度评选“创新产品奖”评选：

http://a.gongkong.com/news/camrs2014/houxuan.asp

   评选条件： 2014年度创新产品奖为满足工控专业用户七大需求链之一的“产品选型”需求，推举2014 年面向中国市场发布的全新产品，从应用和技术层面解读其创新价值，为用户在线选型提供参考和指导。

评选办法：1.根据大数据分析以及专业编辑推荐筛选初选产品；2、用户网上投票评选；3、专家评审团现场评议；

   评选标准：1、技术创新性；2、产品实用性；3、产品性能；4、产品性价比；5、技术支持与服务；6、需求满足性与针对性

   奖项设置：每类产品产生3 个获奖产品